Atelier Sécurité Fortigate

MPSSRI2

Test du contrôle d’accès entre VLAN

Voici la topologie de cette partie

Configuration du switch:
Port [1-4] : VLAN 40 Users
Port [5-8] : VLAN 20 Camera
Port [9-12]: VLAN 30 Servers
Port [23-24] : Trunk
Port 24 : To FGT

1ère étape
Configurez les vlans sur votre commutateur avec le câble console. (création des vlan +
affectation des ports au vlan)
2ème étape
Creation des interfaces des 3 vlans dans le FGT
• Allez sous Network>Interfaces> Create new
• Interface name vlanX
• Vlan ID X
1
 • Address 192.168.X.1/24
• Ok

3ème etape (création réseaux des vlans)

• Allez sous Policy&objects>Adressess> Create new> adress
• Name VlanX
• Subnet/Ip range 192.168.X.0/24
• Interface Vlan X
• Ok
Ajouter les 3 routes statiques par interface V
Voici les règles à ajouter
Cameras (20) Servers (30) Users (40) Internet
Camera - Yes No https, DNS
Servers Yes - No https, DNS
Users No Yes - http, https, DNS

Ajoutez les règles nécessaires (pour les regles entre les Vlan, desactivez le NAT) Pour
les tests, vous avez 2 machines et vous jouerez à changer les ports.
N’oubliez pas de configurer les @IP des machines et leur passerelles
Tester connexion internet de PC20 192.168.20.20
Tester connexion internet de PC30 192.168.30.30
Tester connexion internet de PC40 192.168.40.40

Vérifiez les ping entre les différentes machines

Ping de 192.168.30.30 à 192.168.40.40
Ping de 192.168.40.40 à 192.168.30.30

créer 2 groupes G1 et G2:

 Goupe1 G1 : créer deux users: amine (password : amine) , eya (password : eya)
 Goupe2 G2: créer deux users: fatma (password : fatma), ali (password : ali)
Le but est que tous les utilisateurs ne puissent accéder à l’internet que par l’authentification
(l’user tape son propre login & password)

Nous allons utiliser le portail captif de 2 façons :

1) Directement sous l’Interface LAN

2
Dans ce cas ; l’unique test sera sur le user !!!!
Sous l’interface Lan, choisissez Security mode : Captive portal
Ensuite, Authentication Portal : local
Apres, User access : restricted to Group (G1)
Cochez Customize Portal Messages pour personnaliser l’invite du portail captif
Dans Messages : choisissez Login page
Ajouter GCR3 2018/2019 avant Authentication Required
Enfin save
Enregistrez (ok) pour terminer.

Pour faire le test, ouvrez une autre page web et tapez “edunet.tn », vous allez voir le portail captif
avec un invite pour saisir le login et password de amine.
Ensuite, pour testez eya, il va falloir deauthentifier, alors, il faut aller sous
Monitor> User Firewall Monitor et vous allez voir amine qui est connecté.
Cliquez sur la ligne de Amine, puis sur le bouton Deauthenticate.
Maintenant, revenez à la page de edunet.tn et rafraichissez, normalement l’invite s’affiche de
nouveau.
Maintenant, testez avec eya et visualisez le user connecté sous user firewall Monitor.

2) Dans une regle de filtrage

Dans ce cas, la règle nous permettra de vérifier si c’est le bon user mais aussi de faire du filtrage
supplémentaire comme les services, le Schedule, l’utilisation de UTM (web filter, ssl inspection,
…)

Avant de commencer cette partie, faites de authenticate eya et changez sous l’interface LAN,
Security mode à none

Ensuite , Ajoutez les 2 règles suivantes au niveau du firewall

 Goupe1 G1 :
 http, https, DNS
 No: facebook, yahoo
 Antivirus (par defaut)
 Goupe2 G2:
 http, https, DNS, ping
3
  No: radio, mosaiquefm.net, tunisie-radio.com,
Normalement, il faut il faut allez sous
System feature visibility et cochez « multiple security profiles »
Pour pouvoir créer les web filter dédiés.
Aussi , cochez Allow unnamed Policies pour ne plus obliger à nommer les regles de filtrages

Faites maintenant les tests suivant :

Amine veut accéder à la page edunet.tn
Amine veut accéder à la page yahoo.fr
Amine essaye de télécharger le fichier « eicar.zip » qui contient des virus (cherchez le site de
eicar puis téléchargez le)
Amine veut pinger 8.8.8.8
Faites deauthenticate Amine
Fatma veut accéder à la page edunet.tn
Fatma veut accéder à la page mosaiquefm.net
Fatma veut pinger 8.8.8.8
Faites deautneticate Fatma
Pour vérifier que vos filtre web fonctionnent bien, allez sous Log&report> Web Filter
Aussi, sous fortiview> all sessions, vous pouvez voir les sessions avec les noms des users
Mettez les 2 règles que vous avez ajoutées en état disable !!!

4
 Annexe
Création d’un VLAN sur un switch

S1(config)#vlan id_vlan

S1(config-vlan)#name nom_vlan

S1(config-vlan)#exit

Affectation d’une rangée de ports en mode access à un vlan

S1(config)#interface range fa0/debut - fin

S1 (config-if)#switchport mode access

S1(config-if-range)#switchport access vlan id_vlan

S1 (config-if-range)#no shutdown

S1 (config-if-range)#exit

Configuration d’une rangée d’interfaces en mode trunk

S1(config)#interface range fa0/debut - fin

S1(config-if-range)#switchport mode trunk

S1 (config-if-range)#exit

Bon travail